Encontre 27 virus, aconsejenme porfavor

Imagen de ARJAT
0 puntos

hoy utilice por 1a vez el antivirus clamtk virus scanner y al pasarlo 1o por mi carpeta personal no me encontro nada pero despues lo pase en el sistema de archivos y encontre varios infectados con terminaciones .pid y .bak, ejemplos: freshclam.pid, clam.pid, certs directory, passwd.bak, group.bak, etc... en total 27 archivos infectados.
Mi duda es si los pongo en cuarentena o los elimino o ninguna acción.

Por favor aconsejenme soy nuevo tengo 2 semanas con mi ubuntu edgy.

Mi ordenador es un amdxp 2ghz y 256mb ram, 32mb video prosavage

Imagen de Festor
+1
0
-1

Corriganme si me equivoco pero estos archivos: freshclam.pid, clam.pid, certs directory, passwd.bak, group.bak no son del propio antivirus?

+1
0
-1
Imagen de zirconio
+1
0
-1

Hola:
es curioso lo que ocurre. Para empezar él no debería de ver estos archivos; freschclam invoca a la actualización de las bases del antivirus. Los .pid es la extensión para los archivos de petición operaciones relativas al kernel( es una secuencia numerada recursiva, partiendo de 0,pero incrustada en los subniveles de llamadas). Los .bak son extensiones de DOS OS/2.
No sé, es bastante extraño,
saludos,
Z.

Linux User Reg. #441216
Machine Reg 348016
sustrys@gmail.com

+1
0
-1

Linux User Reg. #441216

Machine Reg     #348016

Imagen de kavra
+1
0
-1

Ahora mismo estoy escaneando todo el sistema para ver si me da algún resultado extraño (no lo creo), lo que sea lo reporto en este post.
El archivo freshclam.pid, clam.pid no me aparecen en todo el arbol de ubuntu, aparte de la extraña terminación *pid, me suena a número de demonio o proceso y aparecen como procesos activos, tendré que indagar (Edito: gracias zirconio). En cuanto a los otros dos uno es copia del contenedor de claves passwd.bak (en realidad es shadow, pero bueno eso no viene ahora a cuento) y el otro debe ser el de grupos de usuarios. Yo no me fiaría demasiado de esos resultados del antivirus, como virus, sino como que tengas el sistema comprometido con algún rootkit. ¿has instalado paquetes manualmente? ¿tienes repositorios dudosos?

Paso 0 Mode paranoico on
Paso 1 deja solo los repositorios oficiales y actualiza.
Paso 2 Instálate el programa rkhunter y analiza el equipo.
Paso 3 Instálate el programa chkrootkit y analiza el equipo.
Paso 4 Instalate el firestarter y monitoriza todo lo que está circulando por tu red.

"El pueblo que está dispuesto a cambiar su libertad por seguridad no merece ninguna de las dos" Benjamín Franklin
http://www.karnekruda.blogspot.com

+1
0
-1

____________________
Anarquía != Desorden

Imagen de zirconio
+1
0
-1

Hola Kavra:
como veo que te gusta el tema te aclaro: cada proceso en UNIX es una entidad creada con un llamada a fork. En realidad, todos los procesos que se crean son una llamada a fork, excepto el primero, al que se le asigna el 0. El proceso que llama a fork, se llama raiz y los procesos creados a partir de esa llamada son variantes. todos los procesos tiene un proceso raiz ( la llamada) y esa raiz puede tener asociadas n variantes. El kernel identifica cada proceso con su PID (process ident) que es un número asociado a cada proceso, que se mantiene mientras dure el mismo.
El proceso 0 se crea cuando arranca el sistema, y después de llamar a fork por primera vez, se convierte en proceso intercambiador, o sea, se encarga de la memoria virtual, A partir de ahí la primera variante es el init cuyo pid será 1. Este arranca los demás procesos segun esté configurado el fichero etc/inittab.

Bueno, espero haber aclarado algo,
Saludos
Z

Linux User Reg. #441216
Machine Reg 348016
sustrys@gmail.com

+1
0
-1

Linux User Reg. #441216

Machine Reg     #348016

Imagen de kavra
+1
0
-1

Gracias me sonaba el tema sobre todo por el comando kill XD del cual suelo abusar, con aplicaciones caprichosas en wine. Gracias de nuevo.

"El pueblo que está dispuesto a cambiar su libertad por seguridad no merece ninguna de las dos" Benjamín Franklin
http://www.karnekruda.blogspot.com

+1
0
-1

____________________
Anarquía != Desorden

Imagen de ARJAT
+1
0
-1

Gracias Kavra, seguire tu consejo excepto el de los repositorios ya que suelo bajar paquetes de universe y automatix.
Supongo que de momento lo mejor es no tomar ninguna acción de cuarentena o eliminar.

A los demas gracias pero no les entendi nada. como les dije anteriormente soy muy nuevo en esto.

+1
0
-1

El necio aprende padeciendo; (Hesíodo, trabajos 218)